【供应链攻击】官方 XRP Ledger NPM 包中发现后门

正文

请到「今天看啥」查看全文

Node Package Manager (NPM) 包，这是一个广泛使用的用于与 XRP Ledger 交互的软件开发工具包 (SDK)。

这种恶意渗透导致引入了一个后门，旨在窃取用户的私钥，从而使攻击者完全控制他们的加密货币钱包。格林威治标准时间 4 月 21 日 20:53，当 NPM 上五个新发布的 xrpl 包版本（每周下载量超过 140,000 次）包含与 GitHub 上的官方版本不符的恶意代码时，引起了怀疑。

受损版本为 4.2.4、4.2.3、4.2.2、4.2.1 和 2.14.2，而攻击时 GitHub 上的最新合法版本为 4.2.0。这种差异引起了担忧。

“这些软件包没有在 GitHub 上发布匹配的版本，这一事实非常可疑，”Aikido 的恶意软件研究员 Charlie Eriksen 在与 Hackread.com 独家分享的博文中透露。

请到「今天看啥」查看全文